Репутационные списки с сервиса аналитики
Командой MITIGATOR формируются репутационные списки IP-адресов, автономных систем и JA3-отпечатков. Репутационные списки поставляются в форме регулярно обновляемых фидов в формате текстовых файлов и могут применяться не только для фильтрации трафика, но и для анализа поведения отправителя на основе его попадания в фиды, сформированные по различным критериям. Например, позволяют оценить легитимность блокировки IP-адреса, или наоборот принять решение о блокировке IP-адреса при наличии подозрительной активности. Также репутационные списки применяются в SIEM и других системах аналитики.
Фиды могут импортироваться в MITIGATOR в качестве именованных списков
и применяться в контрмерах и правилах маршрутизации. Для этого в качестве
типа источника именованного списка следует указать Mitigator feeds.
Доступ к фидам предоставляется по токену и дополнительно лицензируется. Для автоматического забора фидов требуется MITIGATOR версии v22.08.5 или более поздней. Токен указывается в настройках системы в карточке «Общие параметры защиты». Для получения токена следует обратиться к вашему аккаунт-менеджеру.
Типы генерируемых фидов
Название фида указывает на источник и критерии его наполнения. Если в названии
присутствует слово intersect, значит фид формируется из пересечений по нескольким
источникам, отделяемых символом “_”. Например intersect_tbl_proxy-common
в названии означает, что в фиде содержатся IP-адреса, попавшие в TBL и принадлежащие
списку IP-адресов публичных прокси.
| Обозначение | Описание |
|---|---|
proxy-MHDDoS |
IP-адреса прокси-серверов, применяемых инструментом MHDDoS. |
proxy-uashield |
IP-адреса прокси-серверов, применяемых инструментом uashield. |
proxy-hpnadom |
IP-адреса прокси-серверов, применяемых инструментом hpnadom. |
proxy-common |
IP-адреса публичных прокси-серверов из различных источников. |
proxy-general |
Сводный список уникальных IP-адресов по всем proxy-* фидам. |
tbl-unique |
IP-адреса, попавшие в TBL хотя бы на одной из инсталляций MITIGATOR больше одного раза. |
intersect_tbl_proxy-MHDDoS |
IP-адреса, попавшие в TBL и пересекающиеся со списком прокси-серверов MHDDoS. |
intersect_tbl_proxy-uashield |
IP-адреса, попавшие в TBL и пересекающиеся со списком прокси-серверов uashield. |
intersect_tbl_proxy-hpnadom |
IP-адреса, попавшие в TBL и пересекающиеся со списком прокси-серверов hpnadom. |
intersect_tbl_proxy-common |
IP-адреса, попавшие в TBL и пересекающиеся со списком прокси-серверов proxy-common. |
intersect_tbl_proxy-general |
IP-адреса, попавшие в TBL и пересекающиеся со списком прокси-серверов proxy-general. |
intersect_tbl_firehol |
IP-адреса, попавшие в TBL хотя бы на одной из инсталляций MITIGATOR и пересекающиеся с любым из списков firehol. |
intersect_tbl_asn_hosting |
IP-адреса, попавшие в TBL и пересекающиеся с автономными системами хостинг-провайдеров. |
intersect_tbl_tbl_2 |
IP-адреса, попавшие в TBL на двух и более инсталляциях MITIGATOR. |
intersect_tbl_tbl_3 |
IP-адреса, попавшие в TBL на трех и более инсталляциях MITIGATOR. |
intersect_tbl_tbl_4 |
IP-адреса, попавшие в TBL на четырех и более инсталляциях MITIGATOR. |
intersect_tbl_tbl_5 |
IP-адреса, попавшие в TBL на пяти и более инсталляциях MITIGATOR. |
intersect_tbl_tbl_6 |
IP-адреса, попавшие в TBL на шести и более инсталляциях MITIGATOR. |
al-root_with_params |
IP-адреса, присылающие запросы с неправильно сформированным URI. |
al-referer_patterns |
IP-адреса, присылающие запросы с подозрительным Referer. |
al-path_patterns |
IP-адреса, присылающие запросы с одинаковым путем. |
al-method_patterns |
IP-адреса, присылающие запросы с указанием некорректного метода. |
al-yandex_bots |
IP-адреса поисковых ботов Яндекса. |
al-fake_yandex_bots |
IP-адреса нелегитимных ботов, выдающих себя за поисковые боты Яндекса. |
al-general |
Сводный список уникальных IP-адресов по всем al-* фидам. |
ja3-black_common |
Предполагаемые JA3-отпечатки атакующего инструментария. Можно применять для блокировки. |
ja3-bots_common |
JA3-отпечатки ботов, наблюдаемые в атакующем трафике, но такие отпечатки могут встречаться и у легитимных пользователей. |
ja3-grey_common |
Подозрительные JA3-отпечатки. Фид применяется для дополнительной аналитики. |
ja3-users_common |
JA3-отпечатки, замеченные за легитимными пользователями. |
ja3-white_common |
JA3-отпечатки, которые нельзя блокировать, так как им соответствует большое количество легитимных пользователей. |
Модификаторы фидов
В названии могут присутствовать суффиксы-модификаторы, указывающие на дополнительные фильтры, примененные при формировании фида:
По принадлежности к стране:
| Обозначение | Описание |
|---|---|
_ru |
фид содержит только IP-адреса, относящиеся к России. |
_wo-ru |
фид содержит только IP-адреса, не относящиеся к России. |
_runat |
фид содержит только IP-адреса, относящиеся к легитимным NAT и proxy из России. |
_wo-runat |
фид содержит только IP-адреса, не относящиеся к легитимным NAT и proxy из России. |
Суффиксы _ru, _wo-ru и _runat, _wo-runat могут комбинироваться. Например, фид _ru_wo-runat
будет содержать только российские IP-адреса за вычетом легитимных NAT и proxy. Если суффиксы не указаны,
то такой фид содержит все значения.
По времени:
| Обозначение | Описание |
|---|---|
_1d |
фид содержит значения, наблюдавшиеся за последние 24 часа. Обновляется каждые 5 минут. |
_7d |
фид содержит значения, наблюдавшиеся за последнюю неделю. Обновляется каждые 5 минут. |
_30d |
фид содержит значения, наблюдавшиеся за последний месяц. Обновляется каждые 5 минут. |
_365d |
фид содержит значения, наблюдавшиеся за последний год. Обновляется каждые 24 часа. |
_all |
фид содержит значения, за все время наблюдений. Обновляется каждые 24 часа. |
Таким образом, фид proxy-uashield_wo-ru_1d будет содержать в себе
нероссийские IP-адреса прокси-серверов, с которых велись DDoS-атаки с
помощью uashield за последние сутки. Для фидов intersect выборка
за указанный интервал делается для обоих источников.
Планы на развитие сервиса
Планируется больше фидов:
- автономные системы хостингов
- автономные системы, замеченные в атаках
- легитимные российские прокси-серверы и NAT
- результаты анализа логов защищаемых серверов
- JA3-отпечатки по различным критериям
- UDP-амплификаторы
По всем замечаниям и предложениям просим писать в поддержку.
Исключение адресов из фидов
Команда MITIGATOR не гарантирует, что применение фидов в MITIGATOR не повлияет на прохождение легитимного трафика. При ложных срабатываниях или необходимости исключения из фида конкретных IP-адресов обращайтесь в Service Desk или Telegram-бот.
Модифицированные базы данных GeoIP
Также по токену доступна для скачивания модифицированная база стран GeoIP в виде zip-архива или mmdb-файла.
curl -H 'Authorization: Bearer TOKEN' https://ss.mitigator.ru/exports/geobase/GeoBase.mmdb --output file.mmdb
curl -H 'Authorization: Bearer TOKEN' https://ss.mitigator.ru/exports/geobase/GeoBase.zip --output file.zipЗдесь TOKEN – токен доступа, полученный у вашего аккаунт-менеджера.